[ Splunk Basic ] Concepts
본문 바로가기
Splunk/Splunk Basic

[ Splunk Basic ] Concepts

유클릭_안세현 2023. 6. 5. 14:17
728x90
반응형

🐤 Events

  • 타임스탬프로 연결된 값 집합
  • 데이터의 단일 항목이며 한 줄 또는 여러 줄을 가질 수 있음

single entry of data
multiline events

  • 이벤트는 텍스트 문서, 구성 파일, 전체 스택 추적 등이 될 수 있음
  • 트랜잭션을 정의하여 개념적으로는 관련이 있으면서
    일정 기간에 걸쳐 있는 이벤트를 검색하고 함께 그룹화할 수 있다.
  • 트랜잭션은 소매 웹 사이트의 단일 고객 세션과 관련된 모든 이벤트와 같은
    다단계 비즈니스 관련 활동을 나타낼 수 있다.

 

 

🐤 Metrics

  • 메트릭 데이터 포인트는 타임스탬프와 하나 이상의 측정값으로 구성
  • Dimension을 포함할 수도 있음.
  • Measurement(측정값)는 메트릭 이름과 해당 숫자 값이다.
  • Dimension은 measurement의 추가 정보를 제공한다.

  • 메트릭 데이터 포인트 및 이벤트는 함께 검색하고 상호 연관시킬 수 있지만 별도의 인덱스 유형에 저장된다.

 

🐤 Host, Source, and Source Type

  • Host
    • 이벤트가 발생하는 물리적 또는 가상 장치의 이름
    • 특정 장치에서 발생하는 모든 데이터를 찾는 데 사용할 수 있음
  • Source
    • 소스는 특정 이벤트가 발생한 파일, 디렉터리, 데이터 스트림 또는 기타 입력의 이름
    • 소스는 잘 알려진 형식이거나 사용자가 정의한 형식의 소스 타입으로 분류됨
  • Source Type
    • 몇 가지 일반적인 소스 유형은 HTTP 웹 서버 로그 및 Windows 이벤트 로그
    • 소스 유형이 동일한 이벤트는 다른 소스에서 올 수 있음
      • 예를 들어 source=/var/log/messages 파일의 이벤트와
        syslog 입력 포트 source=UDP:514의 이벤트는
        모두 sourcetype이 linux _ syslog 일 수 있다.

 

 

 

🐤 Fields

  • 필드는 한 이벤트를 다른 이벤트와 구별하는 검색 가능한 이름 및 값 쌍
  • 모든 이벤트에 동일한 필드와 필드 값이 있는 것은 아님
  • 필드를 사용하여 맞춤형 검색을 작성하여 원하는 특정 이벤트를 검색할 수 있음
  • Splunk 소프트웨어가 인덱스 시간 및 검색 시간에 이벤트를 처리할 때
    구성 파일 정의 및 사용자 정의 패턴을 기반으로 필드를 추출
  • 필드 추출기 도구를 사용하여 정규 표현식이나 공백, 쉼표 또는 기타 문자와 같은 구분 기호를 사용하여 검색 시 필드 추출을 자동으로 생성하고 유효성을 검사

 

🐤 Tags

  • 태그는 특정 필드 값을 포함하는 이벤트를 검색할 수 있게 해주는 knowledge object
  • 이벤트 유형, 호스트, 소스 및 소스 타입을 포함하여 모든 필드/값 조합에 하나 이상의 태그를 할당할 수 있음.
  • 태그를 사용하여 관련 필드 값을 함께 그룹화하거나 IP 주소 또는 ID 번호와 같은 추상 필드 값에 더 설명적인 이름을 지정하여 추적
  • 복잡한 검색 조합을 하나로 묶어서 검색을 간단하게 할 수 있음
  • 예를 들면 색이 빨갛고 모양이 동그라미이면서 과일인 것을 사과라는 태그로 지정할 수 있다는 뜻!

 

🐤 Index-Time and Search-Time

  • Index-Time
    • 인덱스 시간 처리 중에 호스트의 소스에서 데이터를 읽어 소스 유형을 분류
    • 타임스탬프가 추출되고 데이터가 개별 이벤트로 구문 분석된다.
    • 검색 결과에 표시할 이벤트를 분할하기 위해 줄 바꿈 규칙이 적용됨
    • 각 이벤트는 나중에 검색 요청을 통해 검색되는 디스크의 인덱스에 기록
  • Search-Time
    • 검색이 시작되는 시간을 검색 시간이라고 한다.
    • 검색 시간에는 인덱싱된 이벤트가 디스크에서 검색이 된다.
    • 필드는 이벤트의 원시 데이터에서 추출된다.

 

 

🐤 Indexes

  • 데이터가 추가되면 Splunk 소프트웨어는 데이터를 개별 이벤트로 구문 분석하고, 타임스탬프를 추출하고,
    줄 바꿈 규칙을 적용하고, 인덱스에 이벤트를 저장합니다.
  • 다양한 입력에 대해 새 인덱스를 생성할 수 있습니다.
  • 기본적으로 데이터는 "main" 인덱스에 저장됩니다.
  • 이벤트는 검색 중에 하나 이상의 인덱스에서 검색됩니다.
728x90
반응형

'Splunk > Splunk Basic' 카테고리의 다른 글

[ Splunk Basic ] SPL: Search Processing Language  (0) 2023.06.05
[ Splunk Basic ] System Components  (0) 2023.06.05
[ Splunk Basic ] Core Features  (0) 2023.06.05
[ Splunk Basic ] Forwarder: 역할, 유형 및 유형 별 특징  (0) 2023.05.18
[Splunk Basic] 인스턴스(instance) vs. 구성요소(Component)  (0) 2023.04.24

'Splunk/Splunk Basic' Related Articles

티스토리툴바